Безпека

Останнє оновлення: 15 березня 2026

Безпека цього сайту та приватність його користувачів важливі для нас. Ми вітаємо відповідальне розкриття вразливостей від дослідників безпеки, розробників і представників громадськості.

На цій сторінці описано нашу політику відповідального розкриття — як повідомити про вразливість, що входить у сферу дії, і як ми реагуватимемо. Просимо дотримуватися цих правил під час перевірки та повідомлення про потенційні проблеми безпеки.

Повідомлення про вразливість

Якщо ви виявили вразливість, будь ласка, повідомте нам про це електронною поштою. Не розкривайте вразливість публічно, доки ми не матимемо розумної можливості її перевірити та усунути.

contact@freeonlinenosignup.com

Будь ласка, вкажіть "Security Vulnerability Report" у темі листа та додайте якомога більше з наведеного:

  • Чіткий опис вразливості та її потенційного впливу
  • URL, endpoint або компонент, який зачіпає проблема
  • Покрокові інструкції для відтворення
  • Будь-який proof‑of‑concept код, скріншоти або приклади запитів/відповідей
  • Ваше ім’я або нікнейм, якщо ви хочете, щоб вас згадали (необов’язково)

У межах сфери дії

Наведене нижче вважається в межах сфери дії відповідального розкриття:

  • Міжсайтовий скриптинг (XSS)
  • Підробка міжсайтових запитів (CSRF)
  • Вразливості ін’єкцій на стороні сервера (SQL‑ін’єкції, командні ін’єкції тощо)
  • Обхід автентифікації або авторизації
  • Розкриття чутливих даних або витік інформації
  • Помилки конфігурації безпеки, які можуть бути використані зловмисником
  • Відкриті перенаправлення (open redirect), які можуть використовуватися у фішингових атаках
  • Небезпечні прямі посилання на об’єкти (IDOR)
  • Віддалене виконання коду

Поза сферою дії

Наведене нижче вважається поза сферою дії та не приймається як коректне повідомлення про вразливість:

  • Атаки або тестування на відмову в обслуговуванні (DoS або DDoS)
  • Атаки перебором (brute force) проти будь-якої частини сайту
  • Автоматизоване сканування без попереднього письмового дозволу
  • Соціальна інженерія або фішингові атаки, спрямовані на наших користувачів або персонал
  • Питання фізичної безпеки
  • Вразливості в сторонніх сервісах, бібліотеках або інфраструктурі, які не перебувають під нашим прямим контролем — повідомляйте про них відповідному постачальнику
  • Відсутні security headers, які не становлять у цьому контексті демонстрованої, придатної до експлуатації вразливості
  • Теоретичні вразливості без працездатного proof of concept або доведеного впливу
  • Проблеми, які вимагають, щоб користувач уже скомпрометував свій пристрій або браузер

Чого очікувати

Після надсилання повідомлення про вразливість ви можете очікувати від нас наступного:

1

Підтвердження отримання

Ми підтвердимо отримання вашого повідомлення протягом 3 робочих днів.

2

Розслідування

Ми перевіримо повідомлення та оцінимо валідність і рівень критичності. За потреби ми можемо поставити уточнювальні запитання.

3

Вирішення

Для підтверджених вразливостей ми працюватимемо над усуненням якнайшвидше, пріоритезуючи за критичністю. Ми триматимемо вас у курсі.

4

Розкриття

Після усунення проблеми ми із задоволенням скоординуємо з вами публічне розкриття, якщо ви цього хочете. Просимо надати нам розумний час на виправлення перед публікацією деталей.

Наші зобов’язання

Коли ви повідомляєте про вразливість добросовісно та відповідно до цієї політики, ми зобов’язуємося:

  • Не ініціювати проти вас юридичних дій у зв’язку з вашим дослідженням
  • Розглядати ваш звіт конфіденційно та не передавати ваші персональні дані без вашої згоди
  • Інформувати вас про статус розслідування
  • Вказати вас як автора знахідки, якщо ви цього бажаєте і якщо вразливість підтверджено
  • Працювати над усуненням підтверджених вразливостей своєчасно

Натомість ми просимо: не отримувати доступ, не змінювати і не видаляти дані, які вам не належать; не порушувати доступність сайту; і не проводити тестування на акаунтах або даних інших користувачів.

Контакти

Для загальних запитань щодо цієї політики, які не є повідомленнями про вразливість, використовуйте сторінку контактів. Для не пов’язаних із безпекою повідомлень про помилки використовуйте сторінку повідомити про проблему.